Contract
DEZE VERWERKERSOVEREENKOMST IN DE ZIN VAN ARTIKEL 28 AVG (deze “Verwerkersovereenkomst”) is onderdeel van de Overeenkomst,
TUSSEN:
(1) [●], een [[besloten/naamloze] vennootschap met beperkte aansprakelijkheid] naar [Nederlands] recht, met statutaire zetel in [●], kantoorhoudende aan [●], en ingeschreven in het handelsregister onder nummer [●] (de “Verwerkingsverantwoordelijke”); en
(2) Bryder Building Cloud B.V., een besloten vennootschap met beperkte aansprakelijkheid naar Nederlands recht, met statutaire zetel in Xxxxx, xxxxxxxxxxxxxxx xxx xx Xxxxxxxxxxxx 00, 0000 LXJ, en ingeschreven in het handelsregister onder nummer 27321296 (de “Verwerker”).
De partijen bij deze Verwerkersovereenkomst worden hierna gezamenlijk ook aangeduid als de Partijen en ieder als een Partij. OVERWEGENDE DAT:
(A) Verwerkingsverantwoordelijke persoonsgegevens verwerkt in de zin van de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (de “AVG”), waaronder maar niet beperkt tot persoonsgegevens inzake haar [●] waarvan zij het doel van en de middelen voor vaststelt en daarom kwalificeert als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7AVG;
(B) Partijen de Overeenkomst met ingangsdatum [●] hebben gesloten (de “Overeenkomst”).;
(C) In het kader van de uitvoering van de Overeenkomst Verwerkingsverantwoordelijke aan Verwerker direct en/of indirect persoonsgegevens zal verstrekken en/of Verwerker toegang zal verkrijgen tot persoonsgegevens van Verwerkingsverantwoordelijke;
(D) Verwerker in het kader van de uitvoering van de Overeenkomst onder instructie van Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag te zijn onderworpen en daarbij kwalificeert als verwerker in de zin van artikel 4 lid 8 AVG; en
(E) Partijen, in aanvulling op de Overeenkomst, hun rechten en plichten vast wensen te leggen in deze Verwerkersovereenkomst overeenkomstig de AVG, de Uitvoeringswet AVG en eventuele overige toepasselijke Europese en nationale wet- en regelgeving op het gebied van privacy (“Toepasselijke Data Protectie Wetgeving”).
PARTIJEN KOMEN OVEREEN als volgt:
1. DEFINITIES
Partijen hanteren in deze Verwerkersovereenkomst de onderstaande definities:
Autoriteit De toezichthoudende autoriteit zoals bedoeld in artikel 51 AVG;
Betrokkene De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
Beveiligingsprotocollen De door Verwerker te hanteren beveiligingsmaatregelen zoals beschreven in
Bijlage 1;
Datalek Een inbreuk op de beveiliging van Persoonsgegevens zoals bedoeld in artikel 4 lid 12 AVG;
Persoonsgegeven(s) Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
zoals bedoeld in artikel 4 lid 1 AVG, die Verwerker direct en/of indirect van Verwerkingsverantwoordelijke heeft verkregen en/of waartoe Verwerker toegang tot heeft gekregen van Verwerkingsverantwoordelijke.
2. DOEL VERWERKING PERSOONSGEGEVENS
2.1 Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig de instructies1 en onder de verantwoordelijkheid van Verwerkingsverantwoordelijke, in overeenstemming met hetgeen is beschreven in Bijlage 22 bij deze Verwerkersovereenkomst. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de verwerking van de Persoonsgegevens.
2.2 Gelet op het bepaalde in het vorige artikellid, zal de verwerking van Persoonsgegevens door Verwerker uitsluitend plaatsvinden in het kader van:
i. de uitvoering van de Overeenkomst en deze Verwerkersovereenkomst; en
ii. een wettelijke verplichting die Verwerker tot de verwerking van Persoonsgegevens verplicht, in dat geval stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift.3
2.3 De Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke dan wel de betreffende Betrokkene.
3. VERPLICHTINGEN VERWERKER
3.1 Verwerker is verplicht op eerste verzoek van Verwerkingsverantwoordelijke die medewerking te verlenen die nodig is om de Persoonsgegevens in te zien, aan Verwerkingsverantwoordelijke over te dragen, te verwijderen en/of te vernietigen.
3.2 Verwerker is verplicht haar verplichtingen onder de Verwerkersovereenkomst schriftelijk op te leggen aan degenen die handelen onder het gezag van Verwerker, waaronder maar niet beperkt tot medewerkers van Verwerker en de door haar ingeschakelde (sub)verwerker(s).4 Verwerker is jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor (schade voortvloeiend uit) de verwerking van Persoonsgegevens door (sub)verwerkers die zij conform artikel 13 van deze Verwerkersovereenkomst heeft ingeschakeld.5
3.3 Verwerker is verplicht om aan Verwerkingsverantwoordelijke redelijke medewerking te verlenen die noodzakelijk is voor het voldoen aan de rechten van de Betrokkene zoals bedoeld in artikel 12 t/m artikel 22 AVG, het uitvoeren van gegevensbeschermingseffectbeoordelingen (ook wel genoemd ‘Privacy Impact Assessments’) zoals bedoeld in artikel 35 AVG en het voldoen aan de wettelijke verplichtingen van Verwerkingsverantwoordelijke in dit verband.6
3.4 Verwerker is verplicht een administratie te voeren waaruit gedetailleerd blijkt op welke wijze zij voldoet aan haar verplichtingen op basis van deze Verwerkersovereenkomst en de Toepasselijke Data Protectie Wetgeving. Verwerker is verplicht Verwerkingsverantwoordelijke op eerste verzoek inzage te verlenen in deze administratie en schriftelijk te informeren over de door haar genomen maatregelen met betrekking tot de verplichtingen onder deze Verwerkersovereenkomst en de Toepasselijke Data Protectie Wetgeving.7
1 Op grond van artikel 28 lid 3 sub a AVG is Verwerkingsverantwoordelijke verplicht om vast te leggen dat Verwerker uitsluitend Persoonsgegevens verwerkt op schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij op Verwerker een wettelijke verplichting tot verwerking van de Persoonsgegevens rust.
2 Op grond van artikel 28 lid 3 AVG is Verwerkingsverantwoordelijke verplicht het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van de betrokkenen vast te leggen.
3 Op grond van artikel 28 lid 3 sub a AVG is Verwerkingsverantwoordelijke verplicht om vast te leggen dat Verwerker uitsluitend persoonsgegevens verwerkt op schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij op Verwerker een wettelijke verplichting tot verwerking van de Persoonsgegevens rust.
4 Op grond van artikel 28 lid 4 en lid 9 AVG is Verwerker verplicht om haar verplichtingen op grond van deze Verwerkersovereenkomst schriftelijk op te leggen aan eventuele (sub)verwerkers.
5 Op grond van artikel 28 lid 4 AVG blijft Verwerker, wanneer een (sub)verwerker haar verplichtingen inzake gegevensbescherming niet nakomt, ten aanzien van Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de (sub)verwerker.
6 Artikel 28 lid 3 sub f AVG bepaalt dat Verwerker verplicht is, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke bijstand te verlenen bij het doen nakomen van de verplichtingen uit artikel 32 t/m 36 AVG.
7 Op grond van artikel 28 lid 3 sub h AVG is Verwerker verplicht alle informatie ter beschikking te stellen aan Verwerkingsverantwoordelijke die nodig is voor de Verwerkingsverantwoordelijke om aan haar verplichtingen op basis van artikel 28 AVG te kunnen voldoen. Bovendien is Verwerker op grond van artikel 30 lid 2 AVG verplicht een register van verwerkingsactiviteiten bij te houden.
4. BEVEILIGINGSMAATREGELEN
4.1 Verwerker zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies en/of enige vorm van onrechtmatige verwerking, ermee rekening houdend dat de Persoonsgegevens tevens bijzondere categorieën van persoonsgegevens in de zin van artikel 9 en artikel 10 AVG, nationaal identificatienummers in de zin van artikel 87 AVG en persoonsgegevens van gevoelige aard zoals omschreven in de Beleidsregels van de Autoriteit Persoonsgegevens bevatten. Verwerker zal zich daartoe in ieder geval, maar niet uitsluitend, houden aan het niveau van beveiliging zoals vastgelegd in de Beveiligingsprotocollen.8
4.2 Verwerker is zich bewust van het belang van beveiligingsmaatregelen en zal op verzoek jaarlijks op een door Verwerker aan te wijzen manier kenbaar maken welke passende technische en organisatorische maatregelen Verwerker heeft getroffen ter beveiliging van de Persoonsgegevens.9
5. MELDPLICHT DATALEKKEN
5.1 In het geval van een Datalek, zal Verwerker Verwerkingsverantwoordelijke onmiddellijk, maar in ieder geval binnen 48 uur na ontdekking van het Datalek, schriftelijk informeren op e-mail adres van de hoofdgebruiker.10
5.2 Verwerker zal Verwerkingsverantwoordelijke binnen 48 uur na ontdekking van een Datalek, indien op dat moment beschikbaar, de informatie verstrekken die benodigd is voor het doen van de melding(en) zoals bedoeld in artikel 33 en 34 AVG en die ten minste betreft:
i. de categorieën en een indicatie van het aantal Persoonsgegevens die zijn getroffen;
ii. de categorieën en een indicatie van het aantal Betrokkene die zijn getroffen;
iii. de aard van het Datalek;
iv. de periode waarin het Datalek heeft plaatsgevonden;
v. de maatregelen die zijn genomen om de negatieve gevolgen van het Datalek te beperken;
vi. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van het Datalek;
vii. de maatregelen die Verwerker en/of de door haar ingeschakelde (sub)verwerker(s) heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.11
5.3 Verwerkingsverantwoordelijke zal zelf de meldingen als bedoeld in artikel 33 AVG doen aan de Autoriteit en indien noodzakelijk aan de Betrokkene overeenkomstig artikel 34 AVG. Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, is Verwerker niet gerechtigd om Datalekken te melden aan de Autoriteit en/of Betrokkene.
5.4 Partijen kunnen schriftelijk overeenkomen dat en onder welke voorwaarden Verwerker meldingen in de zin van artikelen 33 en 34 AVG zal doen.
6. DOORGIFTE
6.1 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke is het Verwerker niet toegestaan om Persoonsgegevens te verstrekken aan derden, behoudens door Verwerker ingeschakelde ZZP’ers en (sub)verwerkers in overeenstemming met artikel 13 van deze Verwerkersovereenkomst.12
6.2 Zonder dat een of meerdere waarborgen als bedoeld in artikel 44 t/m artikel 49 AVG zijn getroffen, is het Verwerker niet toegestaan om Persoonsgegevens te verwerken en/of door te geven aan derde landen of internationale organisaties buiten de Europese Economische Ruimte. Verwerker is verplicht Verwerkingsverantwoordelijke schriftelijk te informeren over de
8 Artikel 28 lid 1 AVG bepaalt dat Verwerkingsverantwoordelijke uitsluitend een beroep mag doen op een Verwerker die voldoet aan de vereisten van de AVG en die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen biedt. Op grond van artikel 32(2) AVG dient bij het vaststellen van de beveiligingsmaatregelen rekening te worden gehouden met de verwerkingsrisico’s.
9 Op grond van artikel 28 lid 3 sub h AVG is Verwerker verplicht om aan Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om de nakoming van haar verplichtingen op grond van deze Verwerkersovereenkomst en de AVG aan te tonen en audits, waaronder inspecties, door Verwerkingsverantwoordelijke of door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken er eraan bij te dragen.
10 Artikel 28 lid 3 sub f AVG bepaalt dat Verwerker verplicht is, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke bijstand te verlenen bij het doen nakomen van de verplichtingen uit artikel 32 t/m 36 AVG.
11 Zie bovenstaande voetnoot.
12 Artikel 28 lid 3 sub b AVG verplicht Verwerker om de Persoonsgegevens vertrouwelijk te behandelen en aldus niet (zonder toestemming) aan derden te verstrekken.
door haar voorgenomen doorgifte van persoonsgegevens aan derde landen of internationale organisaties buiten de Europese Economische Ruimte en de getroffen maatregelen in dit kader.13
7. CONTROLE EN AUDIT
7.1 Verwerker zal Verwerkingsverantwoordelijke voorzien van redelijkerwijs benodigde informatie en meewerken aan audits door Verwerkingsverantwoordelijke, of door een door Verwerkingsverantwoordelijke aangewezen derde, die redelijkerwijs verzocht worden en vereist zijn om aan te tonen dat Verwerker voldoet aan diens verplichtingen op grond van deze Verwerkersovereenkomst.14
7.2 Het tijdstip waarop een audit zal plaatsvinden wordt in onderling overleg bepaald.
7.3 Verwerkingsverantwoordelijke zal aan Verwerker met inachtneming van een redelijke termijn vooraf een schriftelijke mededeling doen van een audit die Verwerkingsverantwoordelijke verzoekt uit te voeren in overeenstemming met artikel 7.1 met daarbij een toelichting van de gronden van de inspectie. Verwerkingsverantwoordelijke zal de hoeveelheid audits beperken en zorgdragen dat Verwerkingsverantwoordelijke of de door Verwerkingsverantwoordelijke aangewezen derde gebonden is aan geheimhoudingsverplichtingen, de redelijke instructies en aanwijzingen van Verwerker opvolgt, de ter plaatse van de inspectie geldende veiligheids- en andere voorschriften naleeft en geen schade veroorzaakt en ook niet anderszins de bedrijfsvoering verstoort. De Verwerker zal niet gehouden zijn om toegang te geven tot diens bedrijfsruimten voor de doeleinden van een inspectie:
i. aan personen die zich niet kunnen identificeren en geen bewijs van bevoegdheid kunnen overleggen; of
ii. buiten normale werkuren en/of in de weekenden.
7.4 De kosten verbonden aan een audit zullen volledig voor rekening komen van de Verwerkingsverantwoordelijke. De arbeidsuren die vanuit Verwerker benodigd zullen zijn ten behoeve van het in dit artikel genoemde, zullen aan Verwerkingsverantwoordelijke op basis van nacalculatie tegen het reguliere tarief uit de Overeenkomst in rekening worden gebracht.
7.5 Verwerkingsverantwoordelijke zal Verwerker zo spoedig mogelijk na het einde van een audit voorzien van een afschrift van het auditrapport en Verwerker een redelijke mogelijkheid bieden om schriftelijk op het auditrapport te reageren
8. AUTORITEITEN
8.1 Verwerker erkent de bevoegdheid van Autoriteiten om:
i. informatie in te winnen bij Verwerker respectievelijk bij door Verwerker ingeschakelde derden en/of de externe accountant van Verwerker omtrent de verwerking van Persoonsgegevens; en/of
ii. desgewenst onderzoek te doen of te laten doen bij Verwerker respectievelijk bij door Verwerker ingeschakelde derden en/of de externe accountant van Verwerker, bijvoorbeeld onderzoeken naar de bedrijfsvoering en bedrijfsprocessen in het kader van de verwerking van Persoonsgegevens.
en verplicht zich om aan dergelijke verzoeken redelijke medewerking te verlenen.15
9. RECHTEN VAN BETROKKENE
9.1 Verwerker is verplicht Verwerkingsverantwoordelijke binnen een kalenderweek, te informeren als een Betrokkene een verzoek heeft gedaan ter uitoefening van zijn of haar rechten als bedoeld in artikel 12 t/m artikel 22 AVG.
13 Op grond van artikel 44 t/m artikel 49 AVG is de doorgifte van Persoonsgegevens door Verwerker aan derden, waaronder begrepen internationale organisaties, in landen buiten de Europese Economische Ruimte aan voorwaarden gebonden.
14 Op grond van artikel 28 lid 3 sub h AVG is Verwerker verplicht om aan Verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om de nakoming van haar verplichtingen op grond van deze Verwerkersovereenkomst en de AVG aan te tonen en audits, waaronder inspecties, door Verwerkingsverantwoordelijke of door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken er eraan bij te dragen.
15 Op grond van artikel 31 AVG is Verwerker verplicht om mee te werken met de Autoriteit bij het vervullen van haar taken.
9.2 Verwerker zal alleen communiceren met een Betrokkene en verzoeken als bedoeld in het vorige artikellid in behandeling nemen na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
9.3 Verwerker is verplicht om Verwerkingsverantwoordelijke redelijke medewerking te verlenen die redelijkerwijze noodzakelijk is voor de uitoefening van de rechten van Betrokkene op basis van de AVG.16
10. GEHEIMHOUDING
10.1 Verwerker is verplicht tot geheimhouding van de Persoonsgegevens. Verwerker zal deze verplichting tot geheimhouding opleggen aan haar medewerkers en aan door Verwerker ingeschakelde derden.17
10.2 Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, is het Verwerker niet toegestaan om informatie die redelijkerwijze te herleiden is tot deze Verwerkersovereenkomst en/of een Beveiligingsincident en/of een Datalek mede te delen met derden, waaronder maar niet beperkt tot Betrokkene, toezichthoudende autoriteiten en de media.
11. DUUR VAN DEZE VERWERKERSOVEREENKOMST
11.1 Deze Verwerkersovereenkomst treedt in werking na rechtsgeldige ondertekening door Partijen en wordt aangegaan voor de duur van de Overeenkomst. Behoudens hetgeen is bepaald in artikel 12 Verwerkersovereenkomst, eindigt deze Verwerkersovereenkomst van rechtswege op het moment van beëindiging of ontbinding van de Overeenkomst.
11.2 Artikel 10 (Geheimhouding) en artikel 16 (Toepasselijk recht en forumkeuze) zullen ook na de beëindiging of ontbinding van deze Verwerkersovereenkomst voor onbepaalde tijd tussen Partijen voortduren.
12. GEVOLGEN BEEINDIGING VERWERKERSOVEREENKOMST
Voor zover Verwerker na de beëindiging of ontbinding van deze Verwerkersovereenkomst nog beschikt over Persoonsgegevens, zal zij deze zo spoedig mogelijk vernietigen, danwel – naar keuze van Verwerkingsverantwoordelijke – aan Verwerkingsverantwoordelijke retourneren, tenzij Verwerker op grond van geldende wet- of regelgeving gehouden is de Persoonsgegevens te bewaren. In dit laatstgenoemde geval zal Verwerker al haar verplichtingen uit deze Verwerkersovereenkomst nakomen gedurende de gehele periode waarin zij op grond van geldende wet- of regelgeving gehouden is de Persoonsgegevens te bewaren.18
13. INSCHAKELEN (SUB)VERWERKERS
13.1 Verwerkingsverantwoordelijke verleent algemene toestemming voor het inschakelen van een (sub)verwerker. Voorafgaand aan het inschakelen van een (sub)verwerker licht Verwerker Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervangen van andere (sub)verwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.19
13.2 Op eerste verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker aan Verwerkingsverantwoordelijke een overzicht van door haar ingeschakelde (sub)verwerkers.
14. KOSTEN
Kosten voortvloeiend uit rechten van Betrokkene zoals bedoeld in artikel 14 t/m artikel 22 AVG, uit gegevensbeschermingseffectbeoordelingen (ook wel genoemd ‘Privacy Impact Assessments’) zoals bedoeld in artikel 35 AVG en/of uit onderzoeken of audits van de Autoriteit met betrekking tot de Persoonsgegevens zullen worden gedragen
16 Artikel 28 lid 3 sub e AVG bepaalt een Verwerkingsverantwoordelijke alleen een beroep mag doen op een Verwerker die afdoende garanties kan bieden dat de rechten van Betrokkenen kunnen worden uitgeoefend.
17 Artikel 28 lid 3 sub b AVG verplicht Verwerker om de Persoonsgegevens vertrouwelijk te behandelen en verplicht tot de verwerking van Persoonsgegevens gemachtigde personen de geheimhouding op te leggen.
18 Artikel 28 lid 3 sub g AVG verplicht Verwerker om Persoonsgegevens terug te geven dan wel te verwijderen na beëindiging van deze Verwerkersovereenkomst, naargelang van Verwerkingsverantwoordelijke.
19 Artikel 28 lid 2 AVG bepaalt dat Verwerker geen andere verwerker in dienst neemt zonder voorafgaande specifieke of algemene schriftelijke toestemming van Verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht Verwerker Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers.
door Verwerkingsverantwoordelijke. De arbeidsuren die vanuit Verwerker benodigd zijn, zullen tegen marktconform tarief worden berekend aan Verwerkingsverantwoordelijke op basis van nacalculatie.
15. WIJZIGING IN WET- EN/OF REGELGEVING
Bij de wijziging van bestaande wet- en/of regelgeving en bij de invoering van nieuwe wet- en/of regelgeving, verleent Verwerker op het eerste verzoek van Verwerkingsverantwoordelijke alle medewerking die redelijkerwijze van haar verwacht mag worden, zoals maar niet beperkt tot het wijzigen van deze Verwerkersovereenkomst.
16. TOEPASSELIJK RECHT EN FORUMKEUZE
16.1 Op rechtsverhouding tussen Partijen die is geregeld in deze Verwerkersovereenkomst is Nederlands recht van toepassing.
16.2 Geschillen die zijn ontstaan over deze Overeenkomst en eventueel daaruit voortvloeiende overeenkomsten worden beslecht door arbitrage overeenkomstig het Arbitragereglement van de Stichting Geschillenoplossing Automatisering (xxx.xxxx.xx). De Partijen behouden het recht een voorziening in (arbitraal) kort geding te vragen en conservatoire maatregelen te treffen.
Bijlage 1 Beveiligingsprotocollen
De door de Verwerker te treffen maatregelen zoals bedoeld in artikel 4 van de Verwerkersovereenkomst zullen bestaan uit in ieder geval, maar niet uitsluitend:
a. het naleven van de in artikel 5 (Meldplicht datalekken) en artikel 10 (Geheimhouding) van de Verwerkersovereenkomst genoemde verplichtingen;
b. het installeren en ‘up to date’ houden van een systeem waarmee de toegang tot de Persoonsgegevens wordt beveiligd door middel van een authenticatiemiddel zoals een wachtwoord of met soortgelijke middelen die tenminste even betrouwbaar zijn. Verwerker zal zorg dragen dat haar medewerkers de ‘best practices’ behorende bij voornoemde authenticatiemiddelen naleven, waaronder in ieder geval zorg dragen het vertrouwelijk behandelen van wachtwoord;
c. het beveiligen van het systeem waarmee Verwerker de Persoonsgegevens verwerkt door middel van preventieve, detectieve en correctieve maatregelen (waaronder maar niet beperkt tot tijdige implementatie van actuele beveiligingspatches en viruscontrole) en het beschermen van informatiesystemen en technologie tegen malware (waaronder maar niet beperkt tot virussen, worden, spyware en spam).
d. logging en controle (monitoring) van toegang tot het systeem (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens, zoals foutieve inlogpogingen en overschrijding van autorisatiebevoegdheden);
e. het toewijzen van autorisaties voor de toegang tot systemen aan medewerkers en derden op basis van rolbeschrijvingen;
f. bijhouden van documentatie waarin geregistreerd is aan welke derden de Persoonsgegevens verstrekt worden;
g. adequate fysieke bescherming van de betreffende ruimtes waarin en de apparatuur waarop de Persoonsgegevens opgeslagen staan (zoals toegangsbeveiliging, temperatuurregeling, maatregelen ter voorkoming en bestrijding van brand en waterschade);
h. het pseudonimiseren en/of encrypten van de Persoonsgegevens voor zover dit noodzakelijk is gelet op de risico's van de verwerking en de aard van te beschermen Persoonsgegeven;
i. de bovengenoemde maatregelen uitwerken in een informatiebeveiligingsplan (“Informatiebeveiligingsplan”);
j. periodiek evalueren van het Informatiebeveiligingsplan; en
k. Verwerker heeft de bovengenoemde informatiebeveiligingsmaatregelen geïmplementeerd in haar organisatie.
Bijlage 2
Beschrijving verwerking Persoonsgegevens
Verwerker zal de Persoonsgegevens uitsluitend verwerken overeenkomstig de onderstaande instructies van Verwerkingsverantwoordelijke.
Onderwerp, aard en geschatte termijn van de verwerking
In het Bryder platform wordt gebouw informatie verzameld al dan niet met onderliggende brondocumentatie zoals foto’s, pdf’s, documenten, excellijsten, scans, video’s, handmatige notities e.d.. Deze gebouwinformatie en de onderliggende brondocumenten worden door Verwerkingsverantwoordelijke zelf of door Verwerkingsverantwoordelijke geautoriseerde gebruikers aan het Bryder platform toegevoegd.
Deze gegevens betreft in de basis geen Persoonsgegevens. Echter het kan zijn dat op bepaalde bron documenten onbedoeld Persoonsgegevens zitten besloten.
Doelen en wettelijke grondslagen van de verwerking
In principe niet van toepassing.
Categorieën Persoonsgegevens en Betrokkene
Type/Categorieën: | Doel verwerking van de verwerking- verantwoordelijke | Verwerkings- handelingen van Verwerker | Categorieën Betrokkenen | Bewaartermijn |
* Adresgegevens | Verwezen wordt | * Opslaan (hosting) | * Huurders | * Verwerking- |
* Connectie- gegevens van | naar de | * Inzien/ | * Medewerker(s) | verantwoordelijke is |
medewerker(s) die feitelijk | Overeenkomst | raadplegen ten | * Toeleveranciers | en blijft tijdens de |
gebruik maakt van de | behoeve van | Overeenkomst | ||
overeengekomen Diensten | beheer applicatie | verantwoordelijk voor | ||
namens Verwerkings- | en beheer | het naleven van de | ||
verantwoordelijke, zoals IP- | database (inclusief | bewaartermijnen. | ||
adres, loggen activiteiten | helpdesk); | * Einde | ||
e.d.). | overeenkomst: zie | |||
artikel 11. |